꿈을꾸는 파랑새

오늘은 바이낸스는 캐나다 국적의 창펑 자오 대표가 이끄는 암호화폐 거래소 본사를 몰타에 두고 있으며 2022년 7월 기준으로 총 395개의 암호화폐가 상장되어 있는 세계 최대의 암호화폐 거래소이며 해외 시세를 확인할 목적으로 이용하는 국내 사용자도 많이 있습니다. 오늘은 해당 암호화폐 거래소인 바이낸스(Binance) 피싱 사이트에 대해 분석을 해보겠습니다. 일단 해당 피싱 사이트 주소는 다음과 같습니다.

https://www.biancce(.)com/index/binance/index.html

바이낸스(Binance) 피싱 사이트 메인 화면 및 인증서 정보
바이낸스(Binance) 피싱 사이트 메인 화면 및 인증서 정보

입니다. 진짜 바이낸스(Binance) 바이낸스 거래소는 인증서는 다음과 같이 DigiCert Inc 인증서를 사용하지만 피싱 사이트는 언제나 피싱 사이트에서 가장 많이 보이는 인증서인 Let's Encrypt를 사용하는 것을 확인할 수가 있으면

진짜 바이낸스(Binance) 인증서
진짜 바이낸스(Binance) 인증서

여기서 Let's Encrypt 는Let 's Encrypt는 사용자에게 무료로 TLS 인증서를 발급해주는 비영리기관이며 몇 가지 TLS 인증서 종류 중에서 완전 자동화가 가능한 DV (Domain Validated, 도메인 확인) 인증서를 무료로 발급이 진행되고 있습니다. 일단 피싱 사이트 메인 화면에서는 다음과 같은 화면을 볼 수가 있습니다.

바이낸스(Binance) 피싱 사이트 암호화폐(가상화폐)시세바이낸스(Binance) 피싱 사이트 암호화폐(가상화폐)시세
바이낸스(Binance) 피싱 사이트 암호화폐(가상화폐)시세

Buy, trade, and hold 350+ cryptocurrencies on Binance
그리고 여기서 이메일 주소, 전화번호, 비밀번호를 입력하라고 돼 있으며 이유는 계정 갱신이라는 명분입니다. 밑으로 내려가면 암호화폐(가상화폐) 시세들이 있는 것을 확인할 수가 있습니다.BNB,Bitcoin,EOS,Ethereum을 시세가 나오는 암호화폐(가상화폐) 시세를 확인하려고 하면 Please upgrade the system first이라는 메시지만 나옵니다. 

바이낸스(Binance) 피싱 사이트 로그인
바이낸스(Binance) 피싱 사이트 로그인

사용자가 모르고 해당 바이낸스(Binance) 계정을 입력하면 다음과 같은 메시지가 나오면서 로그인을 할 것이니까 기다려 달라고 합니다.
Login in progress, please wait
물론 답은 다음과 같은 메세지를 볼 수가 있습니다.
Your account password is incorrect, please re-enter
그리고 다음 주소로 개인정보들이 전송되는 것을 확인할 수가 있습니다.

바이낸스(Binance) 피싱 사이트 개인정보 수집
바이낸스(Binance) 피싱 사이트 개인정보 수집

https://www.biancce(.)com/index/binance/receive

이렇게 전송이 되는 것을 확인할 수가 있습니다.

Host: www.biancce(.)com
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:106.0) Gecko/20100101 Firefox/106.0
Accept: */*
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Prefer: safe
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Origin: https://www.biancce(.)com
DNT: 1
Connection: keep-alive
Referer: https://www.biancce(.)com/index/binance/index.html
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Accept-Encoding: gzip, deflate
Content-Length: 46

type=BINANCE&phone=test%40test.com&passwd=test

입니다. 그리고 2022-10-10 11:56:32 UTC 기준 바이러스토탈(Virus Total)에서 탐지하는 보안 업체들은 다음과 같습니다.
Antiy-AVL:Malicious
Avira:Phishing
BitDefender:Phishing
Emsisoft:Phishing
Fortinet:Phishing
G-Data:Phishing
Kaspersky:Phishing
Lionic:Phishing
Netcraft:Malicious
Sophos:Malware
Webroot:Malicious
이며 일단은 Reset, 마이크로소프트 스마트스크린(Microsoft SmartScreen),국내에서 알약으로 유명한 이스트소프트(ESTsecurity)에 일단은 신고했습니다. Google Safe Browsing에서는 정상적으로 차단하고 있습니다.

일단 기본적으로 일단 신고 접수 후 보안 업체 관계자들이 분석하고 적용을 하는데 시간에 걸린 것이며 이런 피싱,스팸 이메일을 막으려면 기본적으로 아웃룩, 선더버드, 네이버, 다음에서도 스팸 차단 서비스를 차단을 지원하고 있으니 해당 기능을 활성화해서 사용을 해야 하며 그리고 백신앱들을 설치를 해두면 접속을 했을 때 사용자가 실수가 악성코드 및 접속을 하는 것을 차단하는 데 도움이 될 것이며 부가 기능들도 활용하는 것도 추천합니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band